Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam,
Postawiłem sobie w sieci serwer ze squidem + Dansguardian.
Chce tak skonfigurować proxy, żeby działo tylko dla tych użytkowników którym ustawie je w przeglądarce.
Wszystkie reguły co do blokowania/przepuszczania stron chce żeby były skonfigurowane w dansguardian.
Proszę o pomoc jako skonfigurować iptables.
Na chwile obecną jak w squid zmodyfikuje wpis http_access deny all na allow to wszystko działa
Jak zostawię na deny to squid zgłasza zablokowaną stornę tak jakby nie było komunikacji miedzy nim a dnasguardian.
Konfiguracja standardowa:
- squid: 3128
- dansguardian 8080
[b]SQUID[/b]
##zdefiniowane obaszry sieci, ktore squid ma brac pod uwage acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl our_networks src 192.168.0.0/23 #nasza siec ##zezwalamy na doste do sieci odpowiednim obszarom http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow our_networks http_access deny all ##port, na ktorym dziala squid http_port 3128 ##pamiec dla squid cache_mem 1024 MB ##maksmylany obiekt w pamieci maximum_object_size_in_memory 256 KB ##metoda odswiezania cache dla pamieci RAM memory_replacement_policy heap GDSF ##metoda odswiezania cache dla dysku cache_replacement_policy heap LFUDA ##lokalizacja rozmiar ilosc katalogow i podkatalogow dla proxy cache_dir aufs /mnt/sdb1 2000 16 256 ##minimalny rozmiar object dla dysku minimum_object_size 0 KB ##maksymalny rozmiar obiektu na dysku maximum_object_size 500 MB ##poziomy, na ktorych ma nastepowac agresywniejsza wymiana cache cache_swap_low 90 cache_swap_high 97 ##lokalizacja logow access_log /var/log/squid/access.log squid cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log ##rotacja logow logfile_rotate 4 ##maska klienta client_netmask 255.255.255.0 ##maksymalny rozmiar wysylanego naglowka request_header_max_size 1 MB ##maksymalny rozmiar tresci zapytania request_body_max_size 2 MB ##odrzuca niedokonczone poloczenia half_closed_clients off ##czas zamkniecia/restartu squida shutdown_lifetime 10 second ##uzytkownic uprawiony do korzystania z proxy cache_effective_user proxy ##grupa uprawniona do uzywania cache cache_effective_group proxy ##logi bledow error_directory /var/log/squid/errors/Polish ##wsparcie dla dns dns_defnames on ##adresy ip dns dns_nameservers 213.241.79.38 213.241.79.37 ##cos tam z ip ipcache_size 10240 ipcache_low 90 ipcache_high 97 ##buforowanie nazw domen fqdncache_size 8192 ##squid trzyma pamiec dla potencjalnego usera memory_pools on ##limit zarezerwowanej pamieci memory_pools_limit 100 MB ##odswiezanie plikow ##odswiezanie dla obrazkow refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080 ##odswiezanie dla obrazkow refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50% 20160 ##odswiezanie dokumentow refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50% 10080 ##odswiezanie statycznych elementow stron refresh_pattern -i \.(css|html|htm) 2880 50% 43200 ##odswiezanie filmow refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200
[b]IPTABLES[/b]
#!/bin/bash ### BEGIN INIT INFO # Provides: firewall.sh # Required-Start: $local_fs $remote_fs # Required-Stop: $local_fs $remote_fs # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # Short-Description: Start daemon at boot time # Description: Enable service provided by daemon. ### END INIT INFO # CZYSZCZENIE STARYCH REGUŁ iptables -F iptables -X iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter # USTAWIENIE POLITYKI DZIAŁANIA iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # Komunikacja Dansguardian ze Squidem iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Przepuszczanie pakietow przez router /bin/echo 1 > /proc/sys/net/ipv4/ip_forward #Przekierowujemy port 80 na DansGuardiana iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-ports 8080
Ostatnio edytowany przez zbyszekgit (2014-04-29 13:53:42)
Offline
witaj,
kolego na początku to się doprecyzuj czy serwer ten jest również bramą internetową i proxy ma działać jako transparent proxy czy tylko proxy (standalone) w sieci LAN ze skonfigurowaną przeglądarką aby używała proxy, czy ma to być dostęp per komputer (po adresie IP) czy per user (po loginie, w domenie AD...) czy niechciane połączenia z komputerów ma odrzucać squid czy mają być blokowane na firewallu...
To co napisałeś w wyżej to miszmasz
Ostatnio edytowany przez meciarz (2014-04-29 17:20:10)
Offline
[b]meciarz[/b] dzięki za podjęcie tematu. Już opisuje co bym chciał zdziałać;)
a) Serwer nie jest brama internetowa - proxy ma działać w sieci LAN ze skonfigurowana przeglądarka.
b) Co do dostępu per user to taka konfiguracja docelowo mnie bardzo interesuje...;) próbowałem ja skonfigurować ale miałem problemy. Dlatego na razie chciałbym ustawić dla adresu IP czyli komputerów z mojej sieci 192.168.0.0-192.168.1.254/255.255.254.0. Chcę żeby komputery z tego zakresu miały dostęp do proxy a reszta deny.
c) Chciałbym aby squid pełnił role tylko proxy a wszystkie reguły co do blokowania były konfigurowane w Dansguardian.
Offline
Wszystko jest tutaj
http://dansguardian.pl/
Ostatnio edytowany przez qlemik (2014-04-30 07:45:23)
Offline
1. Niestety problem z wpisem w iptables dalej mnie męczy...tzn muszę mieć w squid.conf dodana regułę http_access allow all
Jak już poradzę sobie z ta konfiguracja to chciałbym sprawdzić pkt 2
2. Chciałbym ustawić dostęp do Internetu dla konkretnego usera z domeny AD.
Dokładnie chodzi mi o coś takiego:
http://sp37.bydgoszcz.pl/it/?m=201304
Chciałbym, zeby użytkownicy z grupy InternetUsers w OU Users mieli dostęp do Proxy a osoby nie dodane nie.
U mnie konfiguracja jest następująca:
Kontroler domeny: ece509.ece.local (192.168.0.9)
Serwer proxy: ecv027 (192.168.1.92)
Teraz moje pytanie jak skonfigurować squid.conf??
Czy wystarczy dodać sam wpis:
# autoryzacja użytkowników AD którzy należa do grupy "InternetUsers" w AD auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp –require-membership-of="TEST+InternetUsers" auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic –require-membership-of="TEST+InternetUsers"
[b]Plik /etc/krb5.conf[/b]
[logging] default = FILE:SYSLOG:NOTICE:DAEMON kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log[libdefaults] default_realm = ECE.LOCAL default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des3-hmac-sha1 default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des3-hmac-sha1 clockskew = 300 [realms] ECE.LOCAL = { kdc = 192.168.0.9 default_domain = ece.local admin_server = 192.168.0.9 } ECE.LOCAL = { kdc = 192.168.0.9 default_domain = ece.local admin_server = ece509.ece.local } [domain_realm] ece.local = ECE.LOCAL .ece.local = ECE.LOCAL [appdefaults] pam = { debug = false ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 500 try_first_pass = true external = sshd use_shmem = sshd clockskew = 300 }
[b] /etc/nsswitch.conf[/b]
# /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: files winbind group: files winbindhosts: files dns shadow: files winbind hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
[b]/etc/samba/smb.conf[/b]
[global] workgroup = ECE realm = ECE.LOCAL interfaces = 192.168.1.92/24 bind interfaces only = Yes security = ads map to guest = Bad User password server = 192.168.0.9 printcap name = cups logon path = \\%L\profiles\.msprofile logon drive = P: logon home = \\%L\%U\.9xprofile local master = No wins server = 192.168.0.9 remote announce = 192.168.1.92 winbind uid = 1000-20000 winbind gid = 1000-20000 winbind separator = + winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes winbind trusted domains only = Yes winbind refresh tickets = Yes cups options = raw
[b]/etc/hosts[/b]
127.0.0.1 ecv027.ece.local ecv027 192.168.0.9 ece509.ece.local ece509 192.168.1.92 ecv027.ece.local ecv027 # The following lines are desirable for IPv6 capable hosts ::1 localhost ip6-localhost ip6-loopback ff02::1 ip6-allnodes ff02::2 ip6-allrouters
[b]Linux w AD[/b]
root@ecv027:/etc# kinit administrator@ECE.LOCAL Password for administrator@ECE.LOCAL: root@ecv027:/etc# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: administrator@ECE.LOCAL Valid starting Expires Service principal 30.04.2014 08:32:26 30.04.2014 18:32:34 krbtgt/ECE.LOCAL@ECE.LOCAL renew until 01.05.2014 08:32:26 root@ecv027:/etc# wbinfo -t checking the trust secret for domain ECE via RPC calls succeeded
Przy okazji zapytam jeszcze o Dansguardian.
Jeśli chce wygenerować log przez webmina z przystawki DansGuardian Web Content Filter -> Analyze Logfiles dla konkretnego adresu IP dostaje komunikat
Warning - it appears 'anonymizelogs=on' was set in dansguardian.conf so Source Computer addresses were not logged Warning - it appears either 'anonymizelogs=on' was set in dansguardian.conf or no "auth" methods were enabled so Individual names were not logged
W dansguardian.conf zakomentowałem opcję anonymizelogs=on ale to nie pomogło jaka może być jeszcze przyczyna?
Dodam, że w logach z dansa IP sie pojawiaj w squid 127.0.0.0 lub poźniej 192.168.1.0
Ostatnio edytowany przez zbyszekgit (2014-04-30 11:09:02)
Offline
skoro ma działać jako serwer w sieci LAN, to na początku, jeśli chodzi o iptables, to ten kawałek jest niepotrzebny:
# Przepuszczanie pakietow przez router /bin/echo 1 > /proc/sys/net/ipv4/ip_forward #Przekierowujemy port 80 na DansGuardiana iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-ports 8080
a tak w ogóle to i tak cały nie ma sensu, bo domyślne polityki masz na ACCEPT, więc tak jak byś go nie włączał.
Jeżeli chodzi zaś o autoryzację użytkowników AD w squidzie:
1) Konfiguracja Kerberosa (/etc/krb5.conf)
2) Dołączenie serwera do AD (samba)
3) Konfiguracja squida
4) Konfiguracja Dansguardiana
Skoro kinit i wbinfo -t wskazują na poprawną konfigurację pkt 1 i 2, to zakładam że jest ok. Zacznij na razie od poprawnej konfiguracji samego squida z autoryzacją użytkowników, a dopiero później baz się dalej z dansguardianem.
Pomocne ci będą:
[url]http://wiki.squid-cache.org/Features/Authentication[/url]
[url]http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm[/url]
[url]http://www.cyberciti.biz/faq/squid-ntlm-authentication-configuration-howto/[/url]
[url]http://www.flatmtn.com/article/setting-squid-ntlm-auth[/url]
[url]http://wiki.squid-cache.org/action/show//ConfigExamples/Authenticate/Groups?action=show&redirect=ConfigExamples%2FAuthenticate%2FNtlmWithGroups[/url]
[url]http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos[/url]
Jeśli chcesz używać ntlm_auth to zwóć uwagę, aby squid miał prawo do czegoś takiego jak: /var/db/samba/winbindd_privileged/pipe (nie jestem pewien czy podałem prawidłową ścieżkę, bo u siebie używam freebsd i bez dansguardiana).
Dodanie auth_param to jedno, ale jeszcze potrzebne będą Ci odpowiednie
acl AuthorizedUsers proxy_auth REQUIRED .. http_access allow all AuthorizedUsers
Przeczytaj ZE ZROZUMIENIEM podane linki, znajdziesz tam wszystko co potrzebujesz odnośnie squida.
Offline
Dziękuję za linki - troszkę sobie poczytałem;)
Ale niestety po skonfigurowaniu squida dostaje w przeglądarce: [i]Połączenie zostało zresetowane. Połączenie z serwerem zostało zresetowane podczas wczytywania strony.[/i]
Poniżej config squida. Błąd ewidentnie leży w sekcji AD. Bo jak ja usunę to działa prawidłowo.
Proszę i pomoc - gdzie tkwi błąd?
[b]a) zmieniłem upraweninia do: winbindd_priv[/b]
root@ecv027:/var/run/samba# ls -l razem 976 -rw-r--r-- 1 root root 40200 kwi 30 14:28 brlock.tdb -rw-r--r-- 1 root root 696 kwi 30 14:28 connections.tdb -rw-r--r-- 1 root root 425984 kwi 30 14:29 gencache_notrans.tdb -rw-r--r-- 1 root root 425984 kwi 30 14:28 gencache.tdb -rw-r--r-- 1 root root 40200 kwi 30 14:28 locking.tdb -rw------- 1 root root 12288 kwi 30 14:29 messages.tdb -rw------- 1 root root 696 kwi 30 14:29 mutex.tdb -rw-r--r-- 1 root root 5 kwi 30 14:28 nmbd.pid -rw-r--r-- 1 root root 696 kwi 30 14:28 notify_onelevel.tdb -rw-r--r-- 1 root root 696 kwi 30 14:28 notify.tdb -rw-r--r-- 1 root root 12288 kwi 30 14:29 printer_list.tdb -rw-r--r-- 1 root root 8192 kwi 30 14:29 serverid.tdb -rw-r--r-- 1 root root 696 kwi 30 14:28 sessionid.tdb -rw-r--r-- 1 root root 5 kwi 30 14:28 smbd.pid drwxr-xr-x 2 root root 60 kwi 30 14:29 smb_krb5 srwxrwxrwx 1 root root 0 kwi 30 14:28 unexpected -rw-r--r-- 1 root root 5 kwi 30 14:29 winbindd.pid drwxr-x--- 2 root winbindd_priv 60 kwi 30 14:29 winbindd_privileged
[b]b) usunąłem w squid.conf wpis: cache_effective_group[/b]
[b]c) konfig squida[/b]
##zdefiniowane obaszry sieci, ktore squid ma brac pod uwage acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 8097 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl our_networks src 192.168.0.0/23 #nasza siec #########blokowane serwisy na proxy #acl deny_site url_regex facebook youtube ###########################AD########################## auth_param ntlm program /usr/bin/ntlm_auth–helper-protocol=squid-2.5-ntlmssp–require-membership-of="ECE+InternetUsers" auth_param basic program /usr/bin/ntlm_auth–helper-protocol=squid-2.5-basic–require-membership-of="ECE+InternetUsers" auth_param basic children 30 auth_param ntlm children 30 acl ntlm_users proxy_auth REQUIRED http_access allow localhost http_access our_networks ntlm_users http_access allow ntlm_users ###########################AD######################### ##zezwalamy na doste do sieci odpowiednim obszarom http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow our_networks ########http_access deny all ########http_access deny deny_site http_access allow all ##logowanie IP hostów zamiast 127.0.0.1 follow_x_forwarded_for allow localhost ##port, na ktorym dziala squid http_port 3128 ##pamiec dla squid cache_mem 1024 MB ##maksmylany obiekt w pamieci maximum_object_size_in_memory 256 KB ##zezwalamy na doste do sieci odpowiednim obszarom http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow our_networks ########http_access deny all ########http_access deny deny_site http_access allow all ##logowanie IP hostów zamiast 127.0.0.1 follow_x_forwarded_for allow localhost ##port, na ktorym dziala squid http_port 3128 ##pamiec dla squid cache_mem 1024 MB ##maksmylany obiekt w pamieci maximum_object_size_in_memory 256 KB ##zezwalamy na doste do sieci odpowiednim obszarom http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow our_networks ########http_access deny all ########http_access deny deny_site http_access allow all ##logowanie IP hostów zamiast 127.0.0.1 follow_x_forwarded_for allow localhost ##port, na ktorym dziala squid http_port 3128 ##pamiec dla squid cache_mem 1024 MB ##maksmylany obiekt w pamieci maximum_object_size_in_memory 256 KB ##metoda odswiezania cache dla pamieci RAM memory_replacement_policy heap GDSF ##metoda odswiezania cache dla dysku cache_replacement_policy heap LFUDA ##lokalizacja rozmiar ilosc katalogow i podkatalogow dla proxy cache_dir aufs /mnt/sdb1 2000 16 256 ##minimalny rozmiar object dla dysku minimum_object_size 0 KB ##maksymalny rozmiar obiektu na dysku maximum_object_size 500 MB ##poziomy, na ktorych ma nastepowac agresywniejsza wymiana cache cache_swap_low 85 cache_swap_high 95 ##lokalizacja logow access_log /var/log/squid/access.log squid cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log ##rotacja logow logfile_rotate 4 ##maska klienta client_netmask 255.255.255.0 ##maksymalny rozmiar wysylanego naglowka request_header_max_size 1 MB ##maksymalny rozmiar tresci zapytania request_body_max_size 2 MB ##odrzuca niedokonczone poloczenia half_closed_clients off ##czas zamkniecia/restartu squida shutdown_lifetime 10 second ##uzytkownic uprawiony do korzystania z proxy cache_effective_user proxy ##grupa uprawniona do uzywania cache cache_effective_group proxy ##logi bledow error_directory /var/log/squid/errors/Polish ##wsparcie dla dns dns_defnames on ##adresy ip dns dns_nameservers 213.241.79.38 213.241.79.37 ##cos tam z ip ipcache_size 10240 ipcache_low 90 ipcache_high 97 ##buforowanie nazw domen fqdncache_size 8192 ##squid trzyma pamiec dla potencjalnego usera memory_pools on ##limit zarezerwowanej pamieci memory_pools_limit 100 MB ##odswiezanie plikow ##odswiezanie dla obrazkow refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080 ##odswiezanie dla obrazkow refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50% 20160 ##odswiezanie dokumentow refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50% 10080 ##odswiezanie statycznych elementow stron refresh_pattern -i \.(css|html|htm) 2880 50% 43200 ##odswiezanie filmow refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200
Ostatnio edytowany przez zbyszekgit (2014-04-30 14:37:40)
Offline
ad a)
co masz na myśli pisząc zmieniłem uprawnienia do winbindd_priv?
widze
drwxr-x--- 2 root winbindd_priv 60 kwi 30 14:29 winbindd_privileged
a czy dodałeś grupę z jaką będziesz uruchamiał squida do grupy winbindd_priv?
gpasswd -a proxy winbindd_priv
ad b)
no akurat to ma zostać jak było, ma to związek z pkt a, czyli ta linijka ma się znaleźć w konfigu
cache_effective_group proxy
ad c)
czy to błąd podczas wklejania, czy żartujesz sobie z tym konfigiem? te same linie powtarzają się po kilka razy w nim! Zrób z nim porządek i wklej prawidłowy, bo nikt ci nie pomoże
Offline
AD 1. Myślę, że tu jest OK. User proxy należy do winbindd_priv
root@ecv027:/var/run/samba# groups proxy proxy : proxy winbindd_priv
AD 2. Dodałem wpis. Teraz już rozumiem jego zasadność;)
cache_effective_group proxy
AD 3. Przepraszam popełniłem błąd przy wklejaniu.
Proszę o wskazówki co może być jeszcze nie tak?
##zdefiniowane obaszry sieci, ktore squid ma brac pod uwage acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 8097 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl our_networks src 192.168.0.0/23 #nasza siec ###########################AD########################## auth_param ntlm program /usr/bin/ntlm_auth–helper-protocol=squid-2.5-ntlmssp–require-membership-of="ECE+InternetUsers" auth_param basic program /usr/bin/ntlm_auth–helper-protocol=squid-2.5-basic–require-membership-of="ECE+InternetUsers" auth_param basic children 30 auth_param ntlm children 30 acl ntlm_users proxy_auth REQUIRED http_access allow localhost http_access our_networks ntlm_users http_access allow ntlm_users ###########################AD######################### ##zezwalamy na doste do sieci odpowiednim obszarom http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow our_networks http_access allow all ##logowanie IP hostów zamiast 127.0.0.1 follow_x_forwarded_for allow localhost ##port, na ktorym dziala squid http_port 3128 ##pamiec dla squid cache_mem 1024 MB ##maksmylany obiekt w pamieci maximum_object_size_in_memory 256 KB ##metoda odswiezania cache dla pamieci RAM memory_replacement_policy heap GDSF ##metoda odswiezania cache dla dysku cache_replacement_policy heap LFUDA ##lokalizacja rozmiar ilosc katalogow i podkatalogow dla proxy cache_dir aufs /mnt/sdb1 2000 16 256 ##minimalny rozmiar object dla dysku minimum_object_size 0 KB ##maksymalny rozmiar obiektu na dysku maximum_object_size 500 MB ##poziomy, na ktorych ma nastepowac agresywniejsza wymiana cache cache_swap_low 85 cache_swap_high 95 ##lokalizacja logow access_log /var/log/squid/access.log squid cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log ##rotacja logow logfile_rotate 4 ##maska klienta client_netmask 255.255.254.0 ##maksymalny rozmiar wysylanego naglowka request_header_max_size 1 MB ##maksymalny rozmiar tresci zapytania request_body_max_size 2 MB ##odrzuca niedokonczone poloczenia half_closed_clients off ##czas zamkniecia/restartu squida shutdown_lifetime 10 second ##uzytkownic uprawiony do korzystania z proxy cache_effective_user proxy ##grupa uprawniona do uzywania cache cache_effective_group proxy ##logi bledow error_directory /var/log/squid/errors/Polish ##wsparcie dla dns dns_defnames on ##adresy ip dns dns_nameservers 213.241.79.38 213.241.79.37 ##cos tam z ip ipcache_size 10240 ipcache_low 90 ipcache_high 97 ##buforowanie nazw domen fqdncache_size 8192 ##squid trzyma pamiec dla potencjalnego usera memory_pools on ##limit zarezerwowanej pamieci memory_pools_limit 100 MB ##odswiezanie plikow ##odswiezanie dla obrazkow refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080 ##odswiezanie dla obrazkow refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50% 20160 ##odswiezanie dokumentow refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50% 10080 ##odswiezanie statycznych elementow stron refresh_pattern -i \.(css|html|htm) 2880 50% 43200 ##odswiezanie filmow refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200
Offline
piwersze co rzuca się w oczy to brak spacji w lini komend programu ntlm, raczej powinno być:
auth_param ntlm program /usr/bin/ntlm_auth -–helper-protocol=squid-2.5-ntlmssp -–require-membership-of="ECE+InternetUsers" auth_param basic program /usr/bin/ntlm_auth -–helper-protocol=squid-2.5-basic -–require-membership-of="ECE+InternetUsers"
po poprawieniu możesz jeszcze dać
squid -k parse
lub przejrzeć log cache.log o co się squid dopomina
Ostatnio edytowany przez meciarz (2014-05-06 15:55:27)
Offline
OK. Poprawiłem spacje. Bezpośrednio po restarcie nie zgłasza błędów.
root@ecv027:/# /etc/init.d/squid restart [ ok ] Restarting Squid HTTP proxy: squid. root@ecv027:/# squid -k parse root@ecv027:/#
W cache.log pojawia się warning. Gdzieś mi brakuje poświadczeń tylko nie bardzo wiem gdzie...?
Help options: -?, --help Show this help message --usage Display brief usage message Common samba config: --configfile=CONFIGFILE Use alternate configuration file Common samba options: -V, --version Print version 2014/05/05 13:27:10| Ready to serve requests. 2014/05/05 13:27:10| WARNING: ntlmauthenticator #1 (FD 7) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #2 (FD 8) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #3 (FD 9) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #4 (FD 10) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #5 (FD 11) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #6 (FD 12) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #7 (FD 13) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #8 (FD 14) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #9 (FD 15) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #11 (FD 17) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #10 (FD 16) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #12 (FD 18) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #13 (FD 19) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #14 (FD 20) exited 2014/05/05 13:27:10| WARNING: ntlmauthenticator #16 (FD 22) exited 2014/05/05 13:27:10| Too few ntlmauthenticator processes are running username must be specified! Usage: [OPTION...] --helper-protocol=helper protocol to use operate as a stdio-based helper --username=STRING username --domain=STRING domain name --workstation=STRING workstation --challenge=STRING challenge (HEX encoded) --lm-response=STRING LM Response to the challenge (HEX encoded) --nt-response=STRING NT or NTLMv2 Response to the challenge (HEX encoded) --password=STRING User's plaintext password --request-lm-key Retrieve LM session key --request-nt-key Retrieve User (NT) session key --use-cached-creds Use cached credentials if no password is given --diagnostics Perform diagnostics on the authentication chain --require-membership-of=STRING Require that a user be a member of this group (either name or SID) for authentication to succeed --pam-winbind-conf=STRING Require that request must set WBFLAG_PAM_CONTACT_TRUSTDOM when krb5 auth is required Help options: -?, --help Show this help message --usage Display brief usage message Common samba config: --configfile=CONFIGFILE Use alternate configuration file Common samba options: -V, --version Print version FATAL: The ntlmauthenticator helpers are crashing too rapidly, need help! Squid Cache (Version 2.7.STABLE9): Terminated abnormally. CPU Usage: 0.020 seconds = 0.008 user + 0.012 sys Maximum Resident Size: 23152 KB Page faults with physical i/o: 0 Memory usage for squid via mallinfo(): total space in arena: 2988 KB Ordinary blocks: 2864 KB 2 blks Small blocks: 0 KB 1 blks Holding blocks: 528 KB 2 blks Free Small blocks: 0 KB Free Ordinary blocks: 123 KB Total in use: 3392 KB 96% Total free: 123 KB 3% username must be specified! Usage: [OPTION...] --helper-protocol=helper protocol to use operate as a stdio-based helper --username=STRING username --domain=STRING domain name --workstation=STRING workstation --challenge=STRING challenge (HEX encoded) --lm-response=STRING LM Response to the Squid Cache (Version 2.7.STABLE9): Terminated abnormally. CPU Usage: 0.020 seconds = 0.008 user + 0.012 sys Maximum Resident Size: 23152 KB Page faults with physical i/o: 0 Memory usage for squid via mallinfo(): total space in arena: 2988 KB Ordinary blocks: 2864 KB 2 blks Small blocks: 0 KB 1 blks Holding blocks: 528 KB 2 blks Free Small blocks: 0 KB Free Ordinary blocks: 123 KB Total in use: 3392 KB 96% Total free: 123 KB 3% username must be specified! Usage: [OPTION...] --helper-protocol=helper protocol to use operate as a stdio-based helper --username=STRING username --domain=STRING domain name --workstation=STRING workstation --challenge=STRING challenge (HEX encoded) --lm-response=STRING LM Response to the challenge (HEX encoded) --nt-response=STRING NT or NTLMv2 Response to the challenge (HEX encoded) --password=STRING User's plaintext password --request-lm-key Retrieve LM session key --request-nt-key Retrieve User (NT) session key --use-cached-creds Use cached credentials if no password is given --diagnostics Perform diagnostics on the authentication chain --require-membership-of=STRING Require that a user be a member of this group (either name or SID) for authentication to succeed --pam-winbind-conf=STRING Require that request must set WBFLAG_PAM_CONTACT_TRUSTDOM when krb5 auth is required Help options: -?, --help Show this help message --usage Display brief usage message Common samba config: --configfile=CONFIGFILE Use alternate configuration file Common samba options: -V, --version Print version username must be specified! Usage: [OPTION...] --helper-protocol=helper protocol to use operate as a stdio-based helper --username=STRING username --domain=STRING domain name --workstation=STRING workstation --challenge=STRING challenge (HEX encoded) --lm-response=STRING LM Response to the challenge (HEX encoded) --nt-response=STRING NT or NTLMv2 Response to the challenge (HEX encoded) --password=STRING User's plaintext password --request-lm-key Retrieve LM session key --request-nt-key Retrieve User (NT) session key --use-cached-creds Use cached credentials if no password is given --diagnostics Perform diagnostics on the authentication chain --require-membership-of=STRING Require that a user be a member of this group (either name or SID) for authentication to succeed --pam-winbind-conf=STRING Require that request must Help options: -?, --help Show this help message --usage Display brief usage message Common samba config: --configfile=CONFIGFILE Use alternate configuration file Common samba options: -V, --version Print version
Ostatnio edytowany przez zbyszekgit (2014-05-06 15:11:06)
Offline
a jaką jeszcze wersję squida masz u siebie, ja akurat testowo zainstalowałem 3.1.20, więc polecenie w systemie to squid3
Masz błąd w składni ntlm_auth (powinny być dwa myślniki), np działająca u mnie testowo:
auth_param ntlm program /usr/bin/ntlm_auth --domain=TEST --helper-protocol=squid-2.5-ntlmssp --require-membership-of="TEST\\Internet"
U ciebie, w zależności od konfiguracji samby, w miejscu "TEST\\Internet" może być "TEST+Internet", więc sobie dopasuj.
Generalnie, to chyba squida widzisz pierwszy raz, skoro masz z nim takie problemy... ale myślę że jakoś przebrniemy
Offline
Wersja zainstalowanego squida:
||/ Nazwa Wersja Architektura Opis +++-==============-============-============-================================= ii squid 2.7.STABLE9- amd64 Internet object cache WWW proxy
Po Twoich uwagach chyba jestem już coraz bliżej. Obecna wersja confa:
###########################AD########################## auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="ECE+InternetUsers" auth_param basic program /usr/bin/ntlm_aut --helper-protocol=squid-2.5-basic --require-membership-of="ECE+InternetUsers" auth_param basic children 30 auth_param ntlm children 30 acl ntlm_users proxy_auth REQUIRED http_access allow localhost http_access allow our_networks ntlm_users http_access allow ntlm_users ###########################AD#########################
Teraz już w momencie wpisania strony internetowej użytkownik jest proszony o uwierzytelnienie.
Tylko zastanawia mnie dlaczego pierwsze jest "moz-proxy://192.168.1.92:8080" a potem "Squid proxy-caching web serwer"??
Wpisując nazwę użytkownika i hasło dodanego do grupy InternetUsers w domenie ECE nie mogę się uwierzytelnić.
Aha i próbowałem we Twojej rady "TEST\\Internet" lub "TEST+Internet" ale zawsze pojawiał się taki sam komunikat.
[img]http://imageshack.com/a/img843/6062/3mfa.png[/img]
[img]http://imageshack.com/a/img841/1640/i4ki.png[/img]
To co mojej znajomości squida to masz rację - po raz pierwszy się z nim spotykam;) Ale staram się od podstaw wszystko sobie skonfigurować, żeby potem wiedzieć jak rozwiązywać ewentualne problemy;)
Offline
widzę, że na proxy łączysz się na port 8080, olej na razie dansguardiana i opanuj samego squida. puść to na port 3128.
Jeśli chcesz sprawdzić czy poprawnie samba uwierzytelnia użytkownika w domenie, to możesz:
wbinfo -a login
oraz dla helpera ntlm:
echo "login haslo" | /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="TEST\Internet"
Powinieneś otrzymać odpowiedź OK, jeśli się nie uda to będzie ERR
Ostatnio edytowany przez meciarz (2014-05-07 10:31:18)
Offline
root@ecv027:/# wbinfo -a moj_login Enter moj_login's password: plaintext password authentication succeeded Enter moj_login's password: challenge/response password authentication succeeded
Po wykonaniu drugiego polecenia również otrzymałem poprawna odpowiedź: OK
root@ecv027:/# echo "moj_login moje_haslo" | /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="ECE+InternetUsers" OK root@ecv027:/#
Jak zmieniłem w przeglądarce port na squida 3128 otrzymuje te same komunikaty o podanie loginu i hasła.
Coś jeszcze jest nie tak...
Offline
ok, ale po wpisaniu loginu i hasła puszcza dalej? czy nie
Z jakiej przeglądarki korzystasz? próbujesz wejść po http czy https?
daj obecną konfigurację squid.conf.
Ostatnio edytowany przez meciarz (2014-05-07 10:56:23)
Offline
Nie puszcza, cały czas prosi ponownie o wpisanie.
Korzystam z Firefoxa i tam ręcznie konfiguruje proxy.
Po https puszcza wszystko. Z autoryzacja wyskakuje przy wejściu przez http.
[img]http://imageshack.com/a/img835/7862/dyhs.png[/img]
Obecna postać pliku squid.conf
##zdefiniowane obaszry sieci, ktore squid ma brac pod uwage acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 8097 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl our_networks src 192.168.0.0/23 #nasza siec ###########################AD########################## auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="ECE+InternetUsers" auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="ECE+InternetUsers" auth_param basic children 30 auth_param ntlm children 30 acl ntlm_users proxy_auth REQUIRED http_access allow localhost http_access allow our_networks ntlm_users http_access allow ntlm_users ###########################AD######################### ##zezwalamy na doste do sieci odpowiednim obszarom http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow our_networks http_access allow all ##logowanie IP hostów zamiast 127.0.0.1 follow_x_forwarded_for allow localhost ##port, na ktorym dziala squid http_port 3128 ##pamiec dla squid cache_mem 1024 MB ##maksmylany obiekt w pamieci maximum_object_size_in_memory 256 KB ##metoda odswiezania cache dla pamieci RAM memory_replacement_policy heap GDSF ##metoda odswiezania cache dla dysku cache_replacement_policy heap LFUDA ##lokalizacja rozmiar ilosc katalogow i podkatalogow dla proxy cache_dir aufs /mnt/sdb1 2000 16 256 ##minimalny rozmiar object dla dysku minimum_object_size 0 KB ##maksymalny rozmiar obiektu na dysku maximum_object_size 500 MB ##poziomy, na ktorych ma nastepowac agresywniejsza wymiana cache cache_swap_low 85 cache_swap_high 95 ##lokalizacja logow access_log /var/log/squid/access.log squid cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log ##rotacja logow logfile_rotate 4 ##maska klienta client_netmask 255.255.254.0 ##maksymalny rozmiar wysylanego naglowka request_header_max_size 1 MB ##maksymalny rozmiar tresci zapytania request_body_max_size 2 MB ##odrzuca niedokonczone poloczenia half_closed_clients off ##czas zamkniecia/restartu squida shutdown_lifetime 10 second ##uzytkownic uprawiony do korzystania z proxy cache_effective_user proxy ##grupa uprawniona do uzywania cache cache_effective_group proxy ##logi bledow error_directory /var/log/squid/errors/Polish ##wsparcie dla dns dns_defnames on ##adresy ip dns dns_nameservers 213.241.79.38 213.241.79.37 ##cos tam z ip ipcache_size 10240 ipcache_low 90 ipcache_high 97 ##buforowanie nazw domen fqdncache_size 8192 ##squid trzyma pamiec dla potencjalnego usera memory_pools on ##limit zarezerwowanej pamieci memory_pools_limit 100 MB ##odswiezanie plikow ##odswiezanie dla obrazkow refresh_pattern -i \.(gif|tif|tiff|bmp|jpg|jpeg|png|ico) 1440 50% 10080 ##odswiezanie dla obrazkow refresh_pattern -i \.(wav|mp3|mp2|wmp|mid) 10080 50% 20160 ##odswiezanie dokumentow refresh_pattern -i \.(txt|pdf|doc|xls|docx|odf|ppt|pptx) 4320 50% 10080 ##odswiezanie statycznych elementow stron refresh_pattern -i \.(css|html|htm) 2880 50% 43200 ##odswiezanie filmow refresh_pattern -i \.(flv|swf|mp4|wmv|) 10080 70% 43200
Dodam, że w AD w domenie ECE w OU Users umieściłem grupę InternetUsers i tam mam dodanego użytkownika na którym testuje działania squida.
Ostatnio edytowany przez zbyszekgit (2014-05-07 12:59:55)
Offline
Raczej nic podejrzanego, które by psuło robotę w konfigu nie widzę. A czy coś się pluje w logach squida lub samby?
https puszcza tobie, bo nie idzie przez proxy (masz odznaczone w przeglądarce).
Przykładowa konfiguracja testowa z autoryzacją ntlm od squida 3.1 (można przerobić także na kerberos):
http_port 3128 connection-auth=on icp_port 0 acl manager proto cache_object #acl localhost src 127.0.0.1/32 #acl lan src 192.168.1.0/24 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 443 # https acl Safe_ports port 21 # ftp acl CONNECT method CONNECT acl squidCache dstdom_regex squid-cache.org$ #-------------------- auth --------------------# #-- kerberos samba --# #auth_param negotiate program /usr/bin/ntlm_auth --domain=TEST --helper-protocol=gss-spnego --require-membership-of="TEST\\Internet" #auth_param negotiate children 80 startup=10 idle=10 #-- /kerberos --# #-- ntlm --# auth_param ntlm program /usr/bin/ntlm_auth --domain=TEST --helper-protocol=squid-2.5-ntlmssp --require-membership-of="TEST\\Internet" auth_param ntlm children 80 startup=10 idle=10 auth_param basic program /usr/bin/ntlm_auth --domain=TEST --helper-protocol=squid-2.5-basic --require-membership-of="TEST\\Internet" auth_param basic children 80 startup=10 idle=10 auth_param basic realm Logowanie @ AD auth_param basic credentialsttl 30 minutes #-- /ntlm --# # Group ACL Helper #external_acl_type nt_group ttl=1800 %LOGIN /usr/lib/squid3/wbinfo_group.pl -K -- #acl internet external nt_group Internet acl auth_users proxy_auth REQUIRED #-------------------- /auth --------------------# http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow auth_users http_access deny all # Add any of your own refresh_pattern entries above these. refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 hierarchy_stoplist cgi-bin ? http_reply_access allow all maximum_object_size 8 MB maximum_object_size_in_memory 64 KB ipcache_size 1024 cache_dir ufs /var/spool/squid3 100 16 256 coredump_dir /var/spool/squid3 cache_mgr admin@test cache_mem 64 MB cache_effective_user proxy cache_effective_group proxy cache_log /var/log/squid3/cache.log access_log /var/log/squid3/access.log cache_store_log /var/log/squid3/store.log log_mime_hdrs on hosts_file /etc/hosts visible_hostname localhost forwarded_for delete #via off ## DEBUGING #debug_options ALL,2
Początkowo także ciągle pytał o login/hasło, dopiero po ok 20-30 min negocjacja odbywała się "w tle". Na pewno obsługują ją IE oraz FF, nie wiem jak wygląda sytuacja z chrome czy operą.
Inna sprawa że twoje http_access wymagają jeszcze poprawy.
Offline
W logach squida z niepokojących rzeczy to:
Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! Could not parse ECE\InternetUsers into seperate domain/name parts! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_LIFETIME_EXP': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_READ_ERROR': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_WRITE_ERROR': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_SHUTTING_DOWN': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_CONNECT_FAIL': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_INVALID_REQ': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_UNSUP_REQ': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_INVALID_URL': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_SOCKET_FAILURE': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_DNS_FAIL': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_CANNOT_FORWARD': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FORWARDING_DENIED': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_NO_RELAY': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_ZERO_SIZE_OBJECT': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_DISABLED': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_FAILURE': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_URN_RESOLVE': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_ACCESS_DENIED': (2) No such file or directory 2014/05/07 10:49:15| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_CACHE_ACCESS_DENIED': (2) No such file or directory
Kocówka to pewnie problem uprawnień do katalogu /var/log/squid/errors/Polish/ zaraz to poprawie ale na początku to nie bardzo wiem o co chodzi...
Ostatnio edytowany przez zbyszekgit (2014-05-07 14:54:42)
Offline
To drugie to błędnie wskazany katalog z plikami jakie squid ma pokazywać podczas wystąpienia błędu (brak dostępu, strona niedostępna,...)
Pierwsze może coś nie tak z konfigiem samby? Spróbuj zahaszować linie winbind separator = + i zmień w pozostałych konfigach na \\
Zrestartuj demony: samba, winbindd oraz squid i sprawdź
Offline
a) Zmieniłem uprawnienia w katalogu /var/log/squid/errors - ale błąd nie zniknął po restarcie serwera.
root@ecv027:/var/log/squid# ls -l razem 216 -rw-r----- 1 proxy proxy 1957 maj 8 11:25 access.log -rw-r----- 1 proxy proxy 11290 maj 7 11:09 access.log.2 -rw-r----- 1 proxy proxy 26051 maj 7 07:02 access.log.3 -rw-r----- 1 proxy proxy 10454 maj 8 11:23 cache.log -rw-r----- 1 proxy proxy 12534 maj 7 11:09 cache.log.2 -rw-r----- 1 proxy proxy 30229 maj 7 07:02 cache.log.3 drwxrwxrwx 3 proxy proxy 4096 kwi 23 07:25 errors -rw-r----- 1 proxy proxy 6947 maj 8 11:25 store.log -rw-r----- 1 proxy proxy 27770 maj 8 06:49 store.log.2 -rw-r----- 1 proxy proxy 55039 maj 7 07:06 store.log.3
W sumie myśalęm, że tam będzie squid wrzucać wszystkie logi błędów - sugerowałem się tym: http://jakilinux.org/aplikacje/ujarzmij-squida-czesc-ii-%E2%80%93-konfiguracja/
Jeżeli Squid będzie miał chwile słabości: #logi bledow error_directory /var/log/squid/errors/Polish to w tej lokalizacji będą lądować wszystkie błędy.
b) w configu samby zahasowałem linie winbind separator = + i zmieniłem w confie squida na \\ (bo tylko tam się pojawiał zapis z + )
niestety po restarcie dalej to samo;(
2014/05/08 11:22:48| aioSync: flushing pending I/O operations 2014/05/08 11:22:48| aioSync: done 2014/05/08 11:22:48| logfileClose: closing log /var/log/squid/store.log 2014/05/08 11:22:48| logfileClose: closing log /var/log/squid/access.log 2014/05/08 11:22:48| aioSync: flushing pending I/O operations 2014/05/08 11:22:48| aioSync: done 2014/05/08 11:22:48| Squid Cache (Version 2.7.STABLE9): Exiting normally. 2014/05/08 11:23:41| Starting Squid Cache version 2.7.STABLE9 for x86_64-pc-linux-gnu... 2014/05/08 11:23:41| Process ID 3413 2014/05/08 11:23:41| With 1024 file descriptors available 2014/05/08 11:23:41| Using epoll for the IO loop 2014/05/08 11:23:41| DNS Socket created at 0.0.0.0, port 56024, FD 6 2014/05/08 11:23:41| Adding nameserver 213.241.79.38 from squid.conf 2014/05/08 11:23:41| Adding nameserver 213.241.79.37 from squid.conf 2014/05/08 11:23:41| helperStatefulOpenServers: Starting 30 'ntlm_auth' processes 2014/05/08 11:23:41| helperOpenServers: Starting 30 'ntlm_auth' processes 2014/05/08 11:23:41| User-Agent logging is disabled. 2014/05/08 11:23:41| Referer logging is disabled. 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_READ_TIMEOUT': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_LIFETIME_EXP': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_READ_ERROR': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_WRITE_ERROR': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_SHUTTING_DOWN': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_CONNECT_FAIL': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_INVALID_REQ': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_UNSUP_REQ': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_INVALID_URL': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_SOCKET_FAILURE': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_DNS_FAIL': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_CANNOT_FORWARD': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FORWARDING_DENIED': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_NO_RELAY': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_ZERO_SIZE_OBJECT': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_DISABLED': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_FAILURE': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_URN_RESOLVE': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_ACCESS_DENIED': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_CACHE_ACCESS_DENIED': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_CACHE_MGR_ACCESS_DENIED': (2) No such file or direct$ 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_PUT_CREATED': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_PUT_MODIFIED': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_PUT_ERROR': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_NOT_FOUND': (2) No such file or directory 2014/05/08 11:23:41| errorTryLoadText: '/var/log/squid/errors/Polish/ERR_FTP_FORBIDDEN': (2) No such file or directory could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name! could not obtain winbind domain name!
c) W jakim pliku przechowywane sa dokładnie logi samby? bo w lokalizacji /var/log/samba sporo tego.
root@ecv027:/var/log/samba# cores log.nmbd.1.gz log.wb-BUILTIN log.winbindd.2.gz log.192.168.1.18 log.nmbd.2.gz log.wb-ECE log.winbindd-dc-connect log.192.168.1.89 log.smbd log.wb-ECV027 log.winbindd-idmap log.ece021v log.smbd.1.gz log.winbindd log.nmbd log.smbd.2.gz log.winbindd.1.gz
[b]Plik log.smbd [/b]
[2014/05/08 11:35:43.718091, 0] printing/print_cups.c:487(cups_async_callback) failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL [2014/05/08 11:48:44.548609, 0] printing/print_cups.c:110(cups_connect) Unable to connect to CUPS server localhost:631 - Connection refused [2014/05/08 11:48:44.549949, 0] printing/print_cups.c:487(cups_async_callback) failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL [2014/05/08 12:01:45.380360, 0] printing/print_cups.c:110(cups_connect) Unable to connect to CUPS server localhost:631 - Connection refused [2014/05/08 12:01:45.382430, 0] printing/print_cups.c:487(cups_async_callback) failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL [2014/05/08 12:14:46.167228, 0] printing/print_cups.c:110(cups_connect) Unable to connect to CUPS server localhost:631 - Connection refused [2014/05/08 12:14:46.171136, 0] printing/print_cups.c:487(cups_async_callback) failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
Ostatnio edytowany przez zbyszekgit (2014-05-08 12:19:47)
Offline
error_directory wskazuje gdzie się znajdują pliki wyświetlane użytkownikom podczas wystąpienia błędu/braku dostępu
http://www.squid-cache.org/Doc/config/error_directory/
Zahaszuj ją, niech korzysta z domyślnych, lub wstaw (sprawdź czy u ciebie istnieje)
error_directory /usr/share/squid/errors/Polish/
Logi samby, najbardziej cię będą insteresowały pliki:
log.wb-ECE log.winbindd log.winbindd-dc-connect log.winbindd-idmap
Usuń narazie z konfiguracji
--require-membership-of="ECE+InternetUsers"
wrócimy do tego jak zacznie logować użytkownika, a dodaj --domain, czyli niech to wygląda
auth_param ntlm program /usr/bin/ntlm_auth --domain=ECE --helper-protocol=squid-2.5-ntlmssp auth_param basic program /usr/bin/ntlm_auth --domain=ECE --helper-protocol=squid-2.5-basic
Zmień/dodaj w pliku smb.conf
map untrusted to domain = yes winbind nested groups = Yes winbind trusted domains only = No
Rozumiem, że komputer na którym to testujesz jest wpięty do domeny i korzystasz z konta domenowego.
Ostatnio edytowany przez meciarz (2014-05-08 13:55:46)
Offline
Po wprowadzonych zmianach sytuacja wygląda tak:
1) Przy uruchomieniu przegladarki wpisujac halo mnie nie nie wpuszcza - cały czas prosi ponownie
[img]http://imageshack.com/a/img834/6898/4ly4.png[/img]
2)Jak dam anuluj to dostaje info:
[img]http://imageshack.com/a/img842/3641/18wo.png[/img]
3) Potem gdy jeszcze raz wpisze adres jakieś strony to prosi mnie o uwierzytelnienie ale troszkę inaczej (screen 3) i co ciekawe już mnie poprawnie wpuszcza.
[img]https://imagizer.imageshack.us/v2/435x309q90/834/60o9.png[/img]
4) Kolejne zaskoczenie to to, że jak wpisze jakis zablokowany adres w Dansguardian to mimo konfiguracji na squida odzywa sie dans - myśle ze to wina wpisów w iptables.
[img]https://imagizer.imageshack.us/v2/546x406q90/838/5dlg.png[/img]
Ostatnio edytowany przez zbyszekgit (2014-05-08 15:44:27)
Offline
wpisz adres proxy jako pełna nazwa domenowa (FQDN), czyli ecv027.ece.local
Upewnij się żę jest ona rozpoznawalna, tj
nslookup ecv027.ece.local
a czy usunąłeś przekierowanie w iptables, dokładniej chodzi mi o te:
#Przekierowujemy port 80 na DansGuardiana iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-ports 8080
jeśli nie to usuń je (możesz użyć #), przeładuj firewalla i upewnij się że jest ok poleceniem iptables-save
Skoro serwer działa w sieci LAN, a nie jako transparent, podajesz port w przeglądarce, to tego nie potrzebujesz. Jak już się uporasz z obecnymi problemami, to wyłączysz dostęp do nieużywanych portów, a zostawisz tylko dla squida(czy też dansguardiana).
Ostatnio edytowany przez meciarz (2014-05-08 16:16:27)
Offline
a) dokonałem zmiany wpisu w przeglądarce na postać: ecv027.ece.local. Nazwa jest rozpoznawalna po wykonaniu nslookup
b) zakomentowałem w iptables przekierowanie o którym wspomniałeś - po tym restart.
Po czynnościach a) i b) dalej to samo...nie wpuszcza po wpisaniu hasła.
Czyli stan jest ten sam co wcześniej tyle, że wyeliminowaliśmy Dansa z iptables.
w logu squida:
2014/05/09 07:22:05| storeDirWriteCleanLogs: Starting... 2014/05/09 07:22:05| Finished. Wrote 5715 entries. 2014/05/09 07:22:05| Took 0.0 seconds (5422201.1 entries/sec). 2014/05/09 07:22:05| logfileRotate: /var/log/squid/store.log 2014/05/09 07:22:05| logfileRotate (stdio): /var/log/squid/store.log 2014/05/09 07:22:05| logfileRotate: /var/log/squid/access.log 2014/05/09 07:22:05| logfileRotate (stdio): /var/log/squid/access.log 2014/05/09 07:22:05| helperStatefulOpenServers: Starting 30 'ntlm_auth' processes Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" 2014/05/09 07:22:05| helperOpenServers: Starting 30 'ntlm_auth' processes Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus" Ignoring unknown parameter "winbind nested gropus"
W logach samby
1. log.wb-ECE
[2014/05/09 07:16:08.929671, 0] winbindd/winbindd.c:212(winbindd_sig_term_hand$ Got sig[15] terminate (is_parent=0)
2. log.winbindd
[2014/05/09 07:16:08.929833, 0] winbindd/winbindd.c:212(winbindd_sig_term_hand$ Got sig[15] terminate (is_parent=1) [2014/05/09 07:16:49, 0] winbindd/winbindd.c:1346(main) winbindd version 3.6.6 started. Copyright Andrew Tridgell and the Samba Team 1992-2011 [2014/05/09 07:16:49, 0] param/loadparm.c:7969(lp_do_parameter) Ignoring unknown parameter "winbind nested gropus" [2014/05/09 07:16:49.782630, 0] param/loadparm.c:7969(lp_do_parameter) Ignoring unknown parameter "winbind nested gropus" [2014/05/09 07:16:49.787855, 0] winbindd/winbindd_cache.c:3147(initialize_winb$ initialize_winbindd_cache: clearing cache and re-creating with version number$
3. log.winbindd-idmap
[2014/05/09 07:16:08.929405, 0] winbindd/winbindd.c:212(winbindd_sig_term_hand$ Got sig[15] terminate (is_parent=0)
4. log log.winbindd-dc-connect mam pusty.
c) rozumiem, że nie używane porty mam wyłączyć w iptables? czyli coś takiego? : -A INPUT -j DROP -p tcp --dport 1023:65535 Jak dokładnie to powinno wyglądać?
Ostatnio edytowany przez zbyszekgit (2014-05-09 07:56:06)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00003 | SET NAMES latin2 |
0.00106 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.252.58' WHERE u.id=1 |
0.00075 | UPDATE punbb_online SET logged=1732751695 WHERE ident='3.144.252.58' |
0.00064 | SELECT * FROM punbb_online WHERE logged<1732751395 |
0.00083 | DELETE FROM punbb_online WHERE ident='85.208.96.195' |
0.00157 | SELECT topic_id FROM punbb_posts WHERE id=265684 |
0.00622 | SELECT id FROM punbb_posts WHERE topic_id=25715 ORDER BY posted |
0.00089 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25715 AND t.moved_to IS NULL |
0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
0.00204 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25715 ORDER BY p.id LIMIT 0,25 |
0.00086 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25715 |
Total query time: 0.01509 s |